300ユーザー分を同じASAへインストールしたい場合、Product License Registrationを3回繰り返し、最後のactivation keyをASAへインストールすれば良いのでしょうか?TAKASU様、早速のご確認有難うございます。はい、ご認識の通りです。新ライセンス適用前のアクティベーションキーをコマンド投入すれば、ライセンスの状態は新ライセンス適用前の状態に切り戻されるのでしょうか。詳しくは、以下FAQの「Q. AnyConnect Plus ライセンスまたは Apex ライセンス(L-AC-PLS-LIC= または L-AC-APX-LIC= のみ)のライセンス共有プロセスについて、手順を追って説明してください。」を参照してください。より詳しくは、ご利用バージョンのConfiguration Guideを参照してください。 以下はASAバージョン9.8の Configuration Guideとなります。ASAはユーザ数の管理はしておらず、Activationする事で、そのASAのHardwareキャパシティの上限までのリモートVPN終端が可能になります。 具体的には、show versionで確認できる以下のPremium Peersの値が、ご利用機器の上限値まで解放されます。スマートライセンス方式の ASAデバイス(ASAvや FPR1000/2100/4100/9300シリーズなど)をご利用の場合、明示的なデバイスへのAnyConnect Plus/Apexライセンス有効化は不要となります。なお、ご利用のユーザ様分、従来通りAnyConnect Plus/Apexライセンスは購入頂き、ご契約番号に紐付は頂けますようお願いいたします。AnyConnect 4.xのPAK登録と物理デバイスに適用は、ASA5500/5500-X利用時のみ必要です。 これは、従来のAnyConnect 3.xの頃の VPNアクセス終端数のデフォルト制限の解除に利用します。その為、お客様には、ご購入のライセンス範囲内での利用ユーザ数の管理を お願いしております。 仮に300名分 ご購入頂いている場合は、AnyConnect利用ユーザ数が、300名を越えないよう ご運用頂ければと存じます。 もしユーザ様数が300名より増える場合は、越える前に、ライセンスの追加購入を ご検討のほどお願いいたします。 L-AC-PLS-LIC=、もしくは L-AC-APX-LICを利用時は、新PAK方式となり、制限された回数しかASAに適用できません。 つまり、従来のAnyConnect 4.x用のPAKのような99,999回の利用はできません。 代わりに、Share 機能を利用し、そのライセンスを新デバイスに適用することが可能です。リホスト時の新デバイスへのAnyConnectライセンス適用は、このShare機能を利用します。お客様のライセンス管理の負荷を大きく下げる事が、今回のライセンス管理方式の変更の主目的の1つとなりますので、引き続き 弊社製品のご愛顧のほど、よろしくお願いいたします。ASAは 1つのPermanent(永続) Activation-keyを持つので、"技術上"は切り戻しが可能かと思います。及び、私の試験環境でも、旧Permanent Activation-keyを適用しなおす事で、ライセンス機能が旧状態に戻る事を確認しております。実際には、300ユーザー購入し、その後200ユーザー分を追加購入していますので、2つのPAKがありますが、追加ユーザー分はLicense Registrationをしなくても問題なく利用できるということですね。もちろんRegistrationはしますけど、発行されたactivation keyを機器にインストールする必要はないと理解いたしました。どうもありがとうございました。つまり、ASAは AnyConnect Premium Peersの値まで リモートVPN接続を受け入れる事ができ、特にライセンスに基づいたユーザ数の接続制限といった 細かな制御は行っておりません。 逆に、ASAvや Firepower、Cisco ISRルータ、Cisco ASRルータ、Cisco CSR1000VルータをVPN終端サーバとして利用する場合は、PAK登録による制限解除は不要です。AnyConnect Secure Mobility Client 4.0より、ライセンスはASAに紐づくのではなく、ユーザに紐づくという考え方に変わりました。そのため、ASAはデバイス接続数の制限を行わなくなります。また、ユーザ数を元にライセンスを管理頂ければ良くなりましたため、よりシンプルになりました。ご契約のユーザ数や有効期間(term)内の利用であれば、ライセンスを追加購入頂く必要はありません。 つまり、お客様の利用形態に合わせ、ご希望の複数ASAハードウェアのライセンス有効化(activation)と デバイス接続数の制限解除が可能です。VPN終端サーバを増やすためのASAハードウェアの新規増設時や、古いASAの更改時は、お客様にてPAKより発行したActivation Keyを 新しいASAに適用するだけで問題ありません。導入後、300ユーザー分利用可能な状態になっていることをどのように確認したらよいのでしょうか?IOSルータの場合、AnyConnect利用時に必要となる、IOSヘッドエンド側のライセンスが異なります。具体的には、AnyConnect利用者側でAnyConnectライセンス(※人数分用意)、IOSルータ側でセキュリティライセンスが必要です。 購入前の評価を行いたい、という場合は、4週間の Apex 評価ライセンスを発行・利用可能です。 Apexライセンスは、Plusライセンスの全ての機能を含んでいます。ある意味、紳士協定のようなもので、機器が利用ユーザー数をチェックしているわけではないので、仮に301ユーザー目で突然接続できなくなるわけではないということですね。(実際にGet New Licensesのオーダー画面でQuantityは1以外選択できません)L-AC-APX-S-5Y-100のPAKを1度だけLicense Registrationを実施すれば問題なく300ユーザー接続できるということですね。(3回も同じPAKに対して Registrationする必要はない)ポータルでGet Licensesをクリックし、Demo and evaluation... を選択します。このPremium Peersの値が、そのASAに同時接続可能な値となります。AC-APX-5YR-100を3個購入しても同梱されてくるPAKは、L-AC-APX-S-5Y-100が1つのみです。しかし、私達のサポートという観点では、発行したキーの速やかな適用をお願いしております。 旧状態とは Ciscoのデータベース情報と違った機能が有効な状態になるので、あまり実行はお勧めできません。Cisco Router にて AnyConnect 4.x を利用する場合も同様のPAKの発行手順になるでしょうか。
標準価格: Cisco ASA 5500 シリーズ ... Cisco ASA 5500 シリーズ ライセンス ... Cisco AnyConnectライセンス Cisco AnyConnect Apex License 1YR 25-99 Users: L-AC-APX-1Y-S1: ¥1,920: Cisco AnyConnect Apex License 1YR 50K-99999 Users: L-AC-APX-1Y-S10: ¥230: はじめに AnyConnect Secure Mobility Client 4.0より、ライセンスはASAに紐づくのではなく、ユーザに紐づくという考え方に変わりました。そのため、ASAはデバイス接続数の制限を行わなくなります。また、ユーザ数を元にライセンスを管理頂ければ良くなりましたため、よりシンプルになりました。 なお、AnyConnect 4.xのPAKで発行したライセンスを適用すると、上述の通り 機器の最大収容可能数までAnyConnect接続可能になりますが、現在 ASA5525で 50 perpetualということは、ASA5525に適用してたライセンスは AnyConnect 3.x以前のものだと思います。 https://supportforums.cisco.com/ja/document/12501781なお、AnyConnect 4.xのPAKで発行したライセンスを適用すると、上述の通り 機器の最大収容可能数までAnyConnect接続可能になりますが、現在 ASA5525で 50 perpetualということは、ASA5525に適用してたライセンスは AnyConnect 3.x以前のものだと思います。http://www.cisco.com/c/dam/en/us/products/collateral/security/anyconnect-og.pdfAnyConnect 4.xのライセンス購入後のPAKから、ASA5525のシリアルを使ってライセンスを発行、ASAにライセンス適用すれば、接続可能数が上書きされ、最大750まで収容可能になると思います。 あとは、購入・管理しているAnyConnectユーザ数の最大を超えないよう運用すれば大丈夫かと思います。等も確認していますが、間違いが無いようにしたいので教えて下さい。http://www.cisco.com/c/en/us/support/docs/security/anyconnect-secure-mobility-client/200191-AnyConnect-Licensing-Frequently-Asked-Qu.html#anc7現在はユーザー数も50ですが、18ユーザーを追加する必要があります。This platform has an ASA5525 VPN Premium license.以下ドキュメントの、PAKからのライセンス発行方法や、ディスカッションも参考になります。私の考えは、AC-PLS-P-100-Sを購入する必要があるという考えです。AnyConnect Premium Peers : 50 perpetual何らかの理由で 既存50ユーザライセンスの Apexマイグレーションが出来ない or そもそもAPEXライセンスに移行する予定がないのであれば、Itoさん検討中の 100ユーザ Plusライセンスの購入で問題ないと思います。 購入してactivateしなおす必要があるのかをご教示ください。ASA5525は最大750ピアまで接続可能ですので、AnyConnect 4.xのPAKで発行したライセンスキーを適用すれば、最大750台まで同時接続可能になります。例えば1人あたり PCとモバイルの2台でVPNを利用した場合、最大 375人までの接続が(技術上は)可能になります。 しかし、AnyConnectライセンスを100人分しか買ってない場合は、100人以上で利用するとライセンス違反になります。紳士協定です。 (あと、ASA5525で750台も収容すると、かなりパフォーマンスも悪化すると思うので、1台で収容する機器はほどほどがいいです。)AnyConnect 4.xからは、AnyConnect利用ユーザ数(=人)に合わせ、ライセンスを購入する方針に変わってます。 機器での接続制限は撤廃されており、その利用機器の最大までAnyConnect接続が収容可能にかわってます。この場合、AC-PLS-P-25-Sを追加購入すれば良いのか、AC-PLS-P-100-Sを尚、「Perpetual Licenses」の考え方に変更はありません。今も出来るかはわからないのですが、昔はシスコ製品販売店の営業さんでAnyConnect 3.x→AnyConnext 4.xへのマイグレーションを扱ってたと思います。仮にそれが出来た場合は、25ユーザライセンスを買い足せば大丈夫だと思います。 ただ、show versionの出力から、恐らく AnyConnect 3.x利用時は Premiumライセンスを利用してたと思うので、本来のマイグレーション先はApexになるはずです。 PlusはAnyConnectを利用するPCとモバイル向けの安価ライセンスです。